实验案例---------分支公司-------- IPSec ***的配置实现

如图所示，某软件开发公司在中小城市建立了分支公司，分支公司开发项目小组所在网 络地址为 172.16.10.0/24，该网络的主机可以通过 ××× 访问总公司开发数据服务器 （10.10.33.0/24）。

根据上述需求，网络管理员需要在分支公司的网关路由器上配置×××。

1．分支公司的网关路由器
路由方面的配置

R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2  

配置ISAKMP策略

    R1(config)#crypto isakmp policy 1 

R1(config-isakmap)#encryption 3des 

R1(config-isakmap)#hash sha    

R1(config-isakmap)#authentication pre-share

R1(config-isakmap)#group 2 

R1(config)#crypto isakmp key tedu address 200.0.0.1

配置ACL

 R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255  

配置IPSec策略（转换集）

 R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des   

配置加密映射集

    R1(config)#crypto map yf-map 1 ipsec-isakmp

   R1(config-crypto-map)#set peer 200.0.0.1

   R1(config-crypto-map)#set transform-set yf-set

   R1(config-crypto-map)#match address 100  

将映射集应用在接口

  R1(config)#interface f0/1

  R1(config-if)#crypto map yf-map   

2．总公司的网关路由器

路由方面的配置

 R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2  

IPSec ×××方面的配置

      R2(config)#crypto isakmp policy 1

            R2(config-isakmap)#encryption 3des 

            R2(config-isakmap)#hash sha 

            R2(config-isakmap)#authentication pre-share

            R2(config-isakmap)#group 2 

            R2(config)#crypto isakmp key tedu address 100.0.0.1 

            R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255

            R2(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des 

                                            //加密和认证算法要与分公司匹配 

                    R2(config)#crypto map yf-map 1 ipsec-isakmp

                    R2(config-crypto-map)#set peer 100.0.0.1 

                    R2(config-crypto-map)#set transform-set yf-set

                R2(config-crypto-map)#match address 100 

                R2(config)#interface f0/0

                R2(config-if)#crypto map yf-map  

测试： Ping或访问Web服务。